Что важно знать будущему специалисту по информационной безопасности Александр Бондаренко, CISA, CISSP Директор департамента консалтинга LET
Что важно знать будущему специалисту по информационной безопасности
Александр Бондаренко, CISA, CISSP
Директор департамента консалтинга LETA IT
Немного о себе….
Директор департамента консалтинга LETA IT-company
Опыт работы в ИБ более 5 лет
Знания и опыт в области аудитов, оценки рисков ИБ, защиты персональных данных, создания систем менеджмента ИБ
Блог Security Insight: secinsight.blogspot.com
Page 3
Текущая ситуация
Российские компании, работающие в области высоких технологий, испытывают серьезный «кадровый голод»
Образовательные программы не успевают за современными ИТ и ИБ-технологиями
Требования к специалистам по информационной безопасности постоянно увеличиваются
Page 4
Перспективы сегодняшнего студента
Разработчики программного обеспечения
Компании – интеграторы (консультанты)
Непрофильные компании (внутренняя служба)
Государственные службы (организации)
Page 5
Определяемся с направлением…
ТЕХНАРЬ
АНАЛИТИК
МЕНЕДЖЕР
Page 6
Необходимые навыки для успеха
ПРОФЕССИОНАЛЬНЫЕ НАВЫКИ
БИЗНЕС (ЛИЧНОСТНЫЕ) НАВЫКИ
Page 7
ПРОФЕССИОНАЛЬНЫЕ НАВЫКИ
Технические знания что нужно знать: сетевые технологии,
операционные системы, базы данных и прикладные системы, средства защиты
как изучать: собственные виртуальные стенды (Citrix,
VMWare) готовые виртуальные машины (VMWare и
др.) эмуляция сети (GNS3) «облачные» онлайн-сервисы
cloudshare.com
Page 8
ПРОФЕССИОНАЛЬНЫЕ НАВЫКИ
Технические знания как изучать:
обучающие видео-сайты
AcademyPro - www.theacademypro.com
SecurityTube - www.securitytube.net бесплатный курс хакинга от
разработчиков BackTrack - Metasploit Unleashed
обучающие дистрибутивы (DVL, De-ICE и др.) и хак-квесты
Page 9
ПРОФЕССИОНАЛЬНЫЕ НАВЫКИ
Нормативно-методические знания что нужно знать:
основные российские и международные стандарты (ISO 2700x, PCI DSS, СТО БР ИББС)
законодательные требования (ФЗ об информации…, 152-ФЗ и подзаконные акты, закон об ЭЦП, закон о КТ и др.)
методические документы ФСТЭК, ФСБ методики оценки рисков ИБ принципы разработки ИБ-документации
Page 10
ПРОФЕССИОНАЛЬНЫЕ НАВЫКИ
Нормативно-методические знания как изучать:
практически все документы доступны через Интернет
чтение, анализ и работа над документом книги: чуть позже сайты: securitywiki.ru; securitypolicy.ru
Page 11
Необходимые навыки для успеха
БИЗНЕС (ЛИЧНОСТНЫЕ) НАВЫКИ
• Коммуникативные навыки
правильная и грамотная речь, деловой этикет
• Презентационные навыки
книга - The Presentation Secrets of Steve Jobs
• Понимание основных бизнес-процессов
• Mind Management
• Time Management
• Английский язык (!!!)
Page 12
MIND MANAGEMENT
Необходимые навыки для успеха
Page 13
Необходимые навыки для успеха
TIME MANAGEMENT
• Планирование
• Расстановка приоритетов
• Оптимизация
Page 14
Ищем работу....
ОЖИДАНИЯ РАБОТОДАТЕЛЯ
КАК ПРОХОДИТЬ СОБЕСЕДОВАНИЯ
КЛЮЧЕВЫЕ ФАКТОРЫ ПРИ ВЫБОРЕ РАБОТОДАТЕЛЯ
Page 15
Немного о работе консультанта....
СПЕЦИФИКА РАБОТЫ
ОСНОВНЫЕ ДОСТОИНСТВА И НЕДОСТАТКИ
Page 16
Литература по ИБ. Что читать ?
Источник наиболее актуальной информации — иностранная литература
www.allbookstores.com
Покупка: напрямую через Amazon, OZON или других посредников
Журналы по ИБ: (IN)SECURE, Information Security, Infosecurity, Hakin9 и др.
Page 17
Литература по ИБ. Мои рекоммендации Computer and Information Security Handbook - John R.
Vacca — Elsevier Inc. (2009)
How To Achieve 27001 Certification — Auerbach Publications (2008)
Брошюра по Пдн (ЛЕТА) The Security Risk Assessment Handbook —
Douglas J. Landoll / Auerbach Publications (2006) Hacking Exposed (серия книг) Payment Card Industry Data Security Standard
Handbook - Timothy M. Virtue / John Wiley & Sons (2009)
Page 18
Литература по ИБ. Мои рекоммендации
На русском языке ничего посоветовать не могу :(
Page 19
Сертификации...
сертификация сама по себе не заменяет знания и опыт, НО всегда является дополнительным плюсом
чувство меры должно быть во всем !
сертификация не ради сертификации
Page 20
Сертификации...
Security+ (CompTIA)
Технические сертификации: (CISCO, LINUX,
WINDOWS, ORACLE...)
Хакинг: C|EH, OSCP
GIAC (SANS)
Page 21
Сертификации...
CISA (ISACA)
CISM (ISACA)
CISSP (ISC2)
Page 22
Источники информации...
Блоги / Подкасты
Конференции
Вебинары
Социальные сети и профессиональные
сообщества
RISSPA
Page 23
Блоги / Подкасты
Бизнес без опасности (блог Алексея Лукацкого)
Блог Евгения Царева
TaoSecurity Blog
Securelist Blog
Risky Business Podcast
ESET Podcast
Page 24
Блоги / Подкасты
Dorlov’s Blog
Security Bloggers Network
…. и масса других….
Page 25
Конференции
InfoSecurity Russia
INFOBEZ EXPO
IT Security Online Show
Рускрипто
Chaos Constructions
Межотраслевой форум директоров по ИБ
DLP-Russia
Page 26
Вебинары
Brighttalk
(www.brighttalk.com)
WhiteHat Webinars (http://www.whitehatsec.com/home/resource/presentation.html)
Core Security Webcasts (http://www.coresecurity.com/content/penetration-testing-webcasts)
Imperva Webinars (http://www.imperva.com/resources/webinars.asp)
Page 27
сервис микро-блогов
twitter-ленты ИБ-компаний, экспертов, СМИ и проч.
https://twitter.com/securitytwits/lists
Page 28
Социальные сети / профессиональные сообщества...
RISSPA
House of Hackers
Professionali.ru
Page 29
Форумы...
BANKIR.RU
(http://bankir.ru/dom/)
Ethical Hacker Network
(http://www.ethicalhacker.net/component/option,com_smf/Itemid,54/)
Клуб сертифицированных специалистов
(http://certification.ru)
Page 30
КОНТАКТНАЯКОНТАКТНАЯ ИНФОРМАЦИЯИНФОРМАЦИЯ
LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410www.leta.ru
Бондаренко Александр Валерьевич
e-mail: [email protected]